近日,由國際云安全聯盟大中華區與億格云聯合舉辦的“長風破浪 SASE啟航”研討會在線上正式召開。本次研討會共同探討了SASE作為一種創新技術的由來與未來發展趨勢,深入分析零信任SASE安全融合理念與架構,在數字化時代下對企業辦公安全架構的顛覆與創新。通過吉利控股落地零信任SASE的實踐,真實分享了其作為大型智能制造領先企業,在落地零信任SASE的抉擇之路與建設經驗。

數字化建設進一步賦能企業的業務高速發展,其中應用云化、混合辦公使企業邊界不可避免的進一步模糊化,對傳統邊界防御為核心的安全架構帶來了嚴重的挑戰。企業安全管理者迫切希望廣域網組網與安全技術的深度融合,以應對數字化帶來的安全挑戰。

SASE作為Gartner提出的一項創新安全架構,基于零信任的理念并原生融合網絡與安全能力,在大幅度降低企業安全建設投入的同時,適應數字化企業當前及未來的網絡流量模型與安全需要。借助零信任SASE,困擾數字化企業的諸多辦公安全問題將迎刃而解,為安全和風險管理人員提供了未來重新思考和設計網絡和網絡安全體系架構的機會。Gartner預測,到2025年,至少60%的企業將有明確的戰略和時間表來采用SASE。

01 SASE的發展演變與未來趨勢

CSA大中華區SASE工作組聯席組長 何國鋒在解讀《SASE安全訪問服務邊緣白皮書》時談到Gartner 提出的 SASE架構,就是針對企業云化,混合辦公(移動/遠程/居家辦公)模式興起、企業分支機構多,傳統的物理安全邊界消失等問題提出的安全解決方案,很好地滿足了分布式數字化網絡和安全服務。

不僅如此,SASE作為一種新的服務架構,將廣域網接入和網絡安全服務結合,以身份為中心,建立網絡連接和服務,并進行持續的風險性能評估。包含了云網基礎設施、 管理平臺、PoP節點、接入邊緣。何老師講到,SASE 有八種核心能力能很好地將割裂的、碎片化的云化本地安全能力進行整合,快速適應企業新興辦公安全的訴求。

賽博諦聽創始人金湘宇認為傳統軟硬件堆砌的“串糖葫蘆”式的安全部署模式已不可維系。伴隨著5G、SDWAN、云計算、邊緣計算、物聯網等新技術興起,企業的網絡基礎架構也在隨之快速改變。SASE 已經成為近三年來網絡安全最炙手可熱的概念。區別于零信任,SASE除了融合零信任之外,還提供了獨有安全和通信融合,以部分或全部牽引流量至企業外部的邊緣側的能力。

對于SASE的未來發展趨勢,金湘宇預測,隨著5G乃至6G的通信建設發展,未來運營商可以在專網專線里使用SASE安全的功能,實現安全通信和計算的融合。何國鋒認為,技術發展上SASE 系統將與新技術融合,產生更高效的服務?;谄髽I所有數據開展人工智能與網絡智能。同時可對安全事件進行分析和檢測,不斷拓展新的安全服務場景。

02 辦公安全破局之道——零信任SASE

億格云聯合創始人葉敏在會上分享了當前企業辦公安全挑戰的現狀與對策,基礎設施的云化讓企業的安全邊界模糊,使得傳統以邊界為安全的安全體系逐漸失效,數據泄露、病毒入侵等安全隱患也隨之而來。而解決企業云上安全問題的破局之道就是零信任SASE,零信任SASE基于云原生的架構,安全融合賬號、身份、應用、數據、網絡行為等全維度,用一體化的方案來覆蓋所有辦公安全風險場景,真正實現降本增效。

 

03 吉利控股零信任SASE安全架構

本次研討會中作為大型智能制造行業的典范企業,吉利控股CIO執行助理 成品耀分享了吉利的安全挑戰與布局。吉利控股辦公安全起步較早且相對完善,但在全球疫情影響下,吉利控股面臨著些許安全挑戰:

1、各基地訪問總部安全風險:專線建設成本高且無法全面覆蓋小型基地,而采用VPN又面臨用戶體驗及安全風險的問題;此外,各個基地上網行為管理等策略難以按照集團總部的統一標準執行,跨基地出差場景下用戶體驗割裂;

2、多端防護體驗不佳:吉利對于辦公安全一直非常重視,先后采用多個國際一流的安全產品解決辦公安全問題,在安全取得良好成果的同時,也增加了終端負擔,辦公電腦需要安裝并運行多個安全客戶端軟件,影響用戶體驗;

3、遠程辦公數據安全風險:使用傳統VPN進行遠程訪問時,通常僅關注員工身份合法性,而對于設備維度缺乏安全評估,導致BYOD難以區分授權管理,存在泄密隱患。

跟大部分企業一樣,吉利控股集團的安全建設也是從 0 到 1 逐步建立起來的。原先圍繞著邊界在做安全產品和解決方案:部署防入侵檢測、 DNS 安全、網絡防泄漏DLP和物理邊界DMZ等產品。以及集團內圍繞終端安全部署防病毒、終端 DLP 、磁盤加密或網絡準入等產品打造信息安全體系。而伴隨著混合辦公、全球化分布的到來,高成本、繁冗的運維管理,不統一的安全水位、使用體驗差等傳統安全體系的弊端也愈發明顯。

基于此,吉利控股開始采用了零信任SASE一體化的辦公安全解決方案。與億格云深度合作,打造基于混合云架構的內部產品——易連,采用了主要基地私有化部署POP節點和出差場景租用億格云POP節點的方式構建覆蓋全球的應用訪問網絡,用戶側將終端Agent能力以SDK集成于易連的軟件,實現用戶無感知的能力集成。

而借助上述架構,在不大幅度改變原有網絡框架及用戶習慣的基礎上。吉利控股集團的員工可隨時隨地的加速訪問任何位置的內部應用,很大幅度提升員工體驗及業務效率。同時,將零信任網絡訪問(ZTNA)能力原生融合進應用訪問網絡,所有內部應用對互聯網完全隱身,無需映射、暴露任何端口,只有集成了億格云零信任訪問SDK的易連才可接入訪問,其他任何非法請求均無法訪問,在不改變員工體驗及訪問習慣的同時,大幅度降低辦公應用被攻擊的風險。

一體化的辦公安全解決方案帶來的不僅是保證安全,同時實現降本增效、更能改善安全運維管理繁復問題,成品耀認為未來信息安全的建設方向,應該是做減法,并將安全能力“隱身化”。

早在SASE被正式定義之前,北美因業務普遍云化的背景,已進行了多年的相關探索與實際應用。在國內數字化建設的背景下,也必將面臨業務云化所帶來的一系列辦公安全挑戰,而零信任SASE無疑是原生就能適用于數字化架構的最佳選擇。

04 安全架構新未來

在最后《企業SASE安全架構討論》的圓桌環節,網絡安全專家聶君提到,SASE并不局限于某個行業,比如互聯網金融,相比傳統銀行 IT 環境,它所帶來的云計算環境中面臨了更多來自開放環境帶來的安全挑戰,如對外開放接口增多,遠程辦公需求增多,精細化訪問控制能力要求等等,而通過零信任SASE架構來交付,能夠一站式解決這些問題。

談到一些大型企業落地SASE可能會遇到的阻力。楊寧(鳥哥)是這樣認為的,一是對SaaS化上云的顧慮,二是SASE需要技術棧和業務架構進行安全融合,三是SASE的產品形態和部署方式、訂閱式付費模式等。這些可能都是遇到的阻力。但長期來看,企業上云SaaS化是一個必然的趨勢。

數據安全作為大家都一直非常關注,但又覺得非常難解決的一個痛點。在葛岱斌看來SASE 作為一個安全架構,更多是能夠幫助全鏈路監測所有數據在企業內部的流轉,良好實現數據可視、可管、可控,從而保障數據安全。

金湘宇等一眾嘉賓都認同,SASE將改變目前網絡安全產品中以軟硬件結合來進行銷售的方式,解決安全碎片化的問題。真正實現安全融合。伴隨著云化在我國企業的普及,云化階段的不斷演進,SASE架構在我國的接受度也會越來越高,零信任SASE架構帶來的多級容災負載、彈性擴容等優勢,將給業內帶來一場新的安全技術革命。